Strona głównaZrównoważony rozwój
Firmy, które chcą działać zgodnie z ESG, muszą zadbać o odpowiednią ochronę danych osobowych

Firmy, które chcą działać zgodnie z ESG, muszą zadbać o odpowiednią ochronę danych osobowych

5 lutego, 2025

Od kilku lat ochrona danych osobowych w biznesie jest gorącym tematem. Mimo, że eksperci zaznaczają, jak ważne jest odpowiednie zabezpieczenie danych, nadal powszechne są przypadki nieprzestrzegania tych zasad. W 2023 r. zgłoszono ponad 12 tys. naruszeń ochrony danych osobowych, z czego około 40 proc. stanowiły wycieki danych, wynika ze statystyk UODO.

Do wzrostu zainteresowania zagadnieniem ochrony danych osobowych w ostatnich latach przyczyniły się m.in. wejście RODO do polskiego ustawodawstwa, postępująca cyfryzacja i związane z nią cyberprzestępstwa, a w ostatnim czasie wymagania związane z ESG. Ochrona danych jest istotnym elementem strategii i raportowania ESG, szczególnie w zakresie czynników „G” i „S”. Stosowanie odpowiednich praktyk i narzędzi do zabezpieczenia danych pracowników, klientów czy partnerów odpowiada na oczekiwania społeczne, ale przede wszystkim sprzyja budowaniu zaufania wobec firmy, a także tworzeniu zgodnej z obowiązującymi standardami dokumentacji korporacyjnej. Ponadto może uchronić ją przed przykrymi konsekwencjami, które grożą za niedostateczną ochronę danych.

Prawidłowa ochrona danych osobowych bywa wyzwaniem dla firm

Zdarza się, że wdrożenie standardów ochrony danych osobowych sprawia firmie trudności. Powodem mogą być m.in. braki kadrowe, mnogość przepisów, przestarzałe procedury, niedostateczne zabezpieczenia techniczne oraz brak odpowiednich szkoleń dla pracowników.

„Audyty przeprowadzane w organizacjach wykazują istotne braki w kwestii ochrony danych osobowych. A to niesie za sobą ryzyko naruszeń, które bywają kosztowne zarówno pod względem finansowym, jak i wizerunkowym. Na przykład nieprzestrzeganie przepisów RODO, czyli przede wszystkim rozporządzenia o ochronie danych osobowych, może prowadzić do nałożenia kar finansowych na firmę. Mogą one wynieść do 20 mln EUR lub 4 proc. rocznego światowego obrotu firmy, w zależności od tego, która kwota jest wyższa.”radca prawny Mateusz Zreda, partner w kancelarii Destrier.

Z doświadczenia partnerów kancelarii Destrier wynika, że audyty w zakresie ochrony danych osobowych w firmach często wykazują np. niepełne procedury. Wiele firm posiada dokumenty takie jak polityka prywatności, ale są one niekompletne, nieaktualne lub zbyt ogólne, czy niedostosowane do specyfiki działania danej organizacji. Kolejnym problemem są niedostateczne zabezpieczenia techniczne. Oznacza to, że przedsiębiorstwa nie stosują systemów antywirusowych, szyfrowania danych czy narzędzi takich jak dwustopniowe uwierzytelnianie. Zdarzają się też błędy w zarządzaniu danymi – organizacje przechowują informacje dłużej niż jest to konieczne, lub zbierają dane, które nie są im potrzebne. Jako przykład można wskazać sklepy internetowe, które wymagają podania numeru PESEL zamiast roku urodzenia w celu weryfikacji wieku. Audyty wykazują także, że pracownicy nie zawsze przestrzegają zasad bezpieczeństwa i ochrony danych. Niekiedy wynika to z niedbałości, a czasem z niewiedzy. Prowadzi to do przypadkowych naruszeń, np. wysyłania danych klientów niezaszyfrowanym mailem. Pracownicy często nie stosują też bezpiecznych haseł i naruszają  regułę czystego biurka i komputera, które stanowią, że dane nie powinny być dostępne dla osób trzecich.

Podstawowe zasady ochrony danych – checklista

Warto pamiętać, że firmy muszą chronić dane wszystkich interesariuszy: klientów, pracowników czy kontrahentów. Według rekomendacji kancelarii Destrier najistotniejsze procedury, o jakie powinna zadbać organizacja, to:

  • Posiadanie kompletu dokumentów, takich jak regulaminy i polityka prywatności. Powinny one jasno określać zasady dotyczące zbierania, przetwarzania i przechowywania danych osobowych i być na bieżąco aktualizowane. Trzeba dostosować je nie tylko do specyfiki branży, ale i do charakteru samej organizacji. Aby mieć pewność, że dokumenty zostaną sporządzone zgodnie z obowiązującymi przepisami i wymogami, warto skorzystać z usług prawnika, który specjalizuje się w tym zakresie.
  • Sprawdzenie, czy firma posiada odpowiednie procedury i dokumenty do zbierania zgód na przechowywanie i przetwarzanie danych oraz czy zapewnia możliwość wglądu do nich i wycofania zgody. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to, że osoba musi być w pełni poinformowana o celu przetwarzania i mieć możliwość wyrażenia zgody w sposób swobodny. Należy przestrzegać zasady minimalizacji danych, czyli nie zbierać, a tym bardziej nie ujawniać, informacji niepotrzebnych do prowadzenia działalności. Jeśli firma publikuje dane, np. w zbiorczych statystykach publikowanych w raportach ESG, muszą być one zanonimizowane.
  • Szkolenie pracowników, które powinno obejmować m.in. zagadnienia bezpiecznego przetwarzania danych, rozpoznawanie prób wyłudzenia ich oraz instrukcje postępowania w przypadku wykrycia naruszenia.
  • Powołanie inspektora ochrony danych, który będzie czuwał nad aktualnością dokumentów, spójnością procedur i zabezpieczeń z przepisami. Nawet jeśli taki obowiązek nie jest nałożony na dany podmiot, warto rozważyć profesjonalizację w tym zakresie. Do zadań inspektora należy też zarządzanie ewentualnymi incydentami ochrony danych, zapewnienie ciągłości działania w przypadku ich wystąpienia czy opracowanie procedury zgłaszania do organu nadzorczego.

Ochrona danych jako element ESG

Ochrona danych jest bardzo ważnym elementem prowadzenia odpowiedzialnego biznesu. W dobie rosnącej cyfryzacji i licznych zagrożeń bezpieczeństwa informacyjnego powinna być ważną częścią strategii ESG. Działania w tym zakresie warto odnotowywać w komunikatach kierowanych do inwestorów oraz konsumentów i w raportach.

„Wśród społeczeństwa wyraźnie wzrasta świadomość tego, z jakimi konsekwencjami mogą wiązać się naruszenia dotyczące danych osobowych. Informacja, że firma dba o odpowiednie zabezpieczenie danych i przestrzega przepisów w kwestii ich przechowywania i przetwarzania, ma kluczowy wpływ na budowanie zaufania, a często staje się warunkiem współpracy.”radca prawny Mateusz Zreda, partner w kancelarii Destrier.

Warto dodać, że zachowanie odpowiednich procedur w zakresie ochrony danych osobowych ma też znaczenie dla środowiska. Zgodnie z szacunkami Międzynarodowej Agencji Energii, centra danych zużywają średnio 270 terawatogodzin energii elektrycznej rocznie, czyli około 1 proc. globalnego zapotrzebowania na energię elektryczną, stanowiąc 0,6 proc. wszystkich globalnych emisji gazów cieplarnianych. Właściwa ochrona danych osobowych, polegająca także na minimalizowaniu zbierania danych oraz  regularnym usuwaniu niewykorzystywanych danych może  zmniejszać ślad cyfrowy i skutecznie przyczyniać się także do ochrony środowiska.

Źródło: akademiaesg.pl

Przeczytaj także: ROP – samorządy zadowolone z rozmów z minister Sowińską

Last Updated on 5 lutego, 2025 by Elżbieta Wieleba

TAGS